Skip to main content

BCM: een last of juist zekerheid voor de CISO?


Informatiebeveiliging. Ofwel ‘het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit met als doel om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, 

vooraf bepaald niveau te beperken’.

Het verleden biedt geen garantie voor de toekomst

Deze beschikbaarheid en continuïteit van kritische bedrijfsprocessen kan natuurlijk in gevaar komen. Door bijvoorbeeld een incident zoals brand, wateroverlast of een (stroom)storing. Met alle gevolgen van dien voor een burger, de bedrijfsvoering van een organisatie en de reputatie van de gemeente. Maar hoe kun je als gemeente de beschikbaarheid en continuïteit van je kritische bedrijfsprocessen (blijven) garanderen indien deze in gevaar komen?

Voorkomen is beter dan genezen

Om stagnatie van deze kritische bedrijfsprocessen binnen gemeenten te voorkomen is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen. Daarnaast is het belangrijk dat er een inschatting wordt gemaakt van het effect van elke bedreiging op de kritische bedrijfsprocessen. Want, door adequaat op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Business Continuïty Management (BCM)’ of in het Nederlands, Bedrijfscontinuïteitsbeheer. Onderdeel van dit Bedrijfscontinuiteitsbeheer vormt het uitvoeren van een Bedrijfsimpactanalyse (BIA). Door middel van zo’n BIA worden de kritieke processen van de niet-kritieke processen binnen de gemeentelijke organisatie onderscheiden. Maar hoe bepaal je of een bedrijfsproces kritiek is voor je gemeentelijke organisatie? Ik geef je graag een aantal criteria waarmee je de toets kunt doen. Een proces is kritiek indien:

  • het om wetgeving gaat (bijvoorbeeld processen binnen Openbare orde en veiligheid)
  • het de burger raakt (bijvoorbeeld processen binnen Sociale Zaken)
  • het andere processen binnen je gemeente raakt (bijvoorbeeld processen binnen Financieel beheer)
  • het de beschikbaarheid van je gemeentelijke dienstverlening raakt (bijvoorbeeld processen binnen Sociale Zaken of Burgerzaken)
  • het hoge herstelkosten met zich meebrengt (bijvoorbeeld processen binnen Openbare orde en veiligheid)
  • het hoge integriteit vereist (bijvoorbeeld processen binnen Sociale Zaken en Gezondheidszorg)
  • het om verwerking van vertrouwelijke informatie (zoals persoonsgegevens) gaat in het kader van privacy (bijvoorbeeld processen binnen Burgerzaken/BRP)
  • het een afbreukrisico heeft, dan wel tot reputatieschade leidt (bijvoorbeeld processen binnen de BRP)

Bij een BIA wordt er samen met de verantwoordelijken binnen je gemeente gekeken naar wat de mogelijke impact en schade is bij het uitvallen van een dergelijk proces en wordt inzichtelijk gemaakt wat de gemeente minimaal moet doen om na een incident haar bedrijfsactiviteiten te kunnen voortzetten.

Bedrijfsimpactanalyse (BIA); linksom of rechtsom?

Door middel van een BIA kun je als gemeente per kritisch bedrijfsproces de maximale uitvalsduur, ofwel Recovery Time Objective (RTO), van een proces vaststellen. Bij de gebruikelijke aanpak gaat dit als volgt:

  1. Op basis van de RTO’s wordt een strategie opgesteld
  2. Deze strategie geeft aan welke maatregelen nodig zijn om de bedrijfsprocessen weer te herstellen
  3. Om de strategie uit te voeren zijn vaak aanvullende aanpassingen/investeringen nodig
  4. Nadat de maatregelen zijn uitgevoerd, kan er getest en geoefend worden
  5. Waarna er tot slot een evaluatie plaatsvindt van de uitkomsten

Helaas zijn desinvesteringen bij deze aanpak niet uitgesloten. Deze worden vaak veroorzaakt doordat de BIA veel tijd en inzet vraagt en daardoor vaak worden uitgevoegd door functionarissen uit het middenmanagement van de gemeente. Bedrijfscontinuïteit is echter een strategische aangelegenheid, waarvoor het noodzakelijk is dat het (top)management de strategische keuzes maakt. Hierdoor kan het zijn dat de vastgestelde RTO’s moeten worden bijgesteld aan de hand van de uitkomsten van de testen.

Omgekeerde BIA

Maar moeten we de BIA nog wel volgens de gebruikelijke aanpak willen uitvoeren? Of kan dit ook pragmatischer? De Informatiebeveiligingsdienst voor gemeenten (IBD ) heeft onlangs de ‘omgekeerde Bedrijfsimpactanalyse (BIA)’ geïntroduceerd, tijdens de regiobijeenkomsten over BCM en in hun nieuwe BIG-OP producten. In deze aanpak wordt een andere volgorde aangehouden. Er wordt namelijk eerst gekeken naar welke calamiteiten er kunnen plaatsvinden en hoe je als organisatie op dat moment de situatie aanpakt. Vervolgens worden de BCM-documenten hiervoor opgesteld, vinden er testen plaats en worden tenslotte de resultaten geëvalueerd. Pas daarna worden er eventueel maatregelen doorgevoerd. Er zijn op dat moment dus nog geen grote investeringen of aanpassingen gedaan en de kans op desinvesteringen is daardoor ook kleiner. Bijkomend positief effect is dat het management deze werkwijze zelf bedenkt en beoordeelt.

BCM; gaat dit de CISO-pet te boven?

Maar wie z’n taak is het eigenlijk binnen een gemeente om BCM op te starten? De CISO, het management of iemand anders? Oorspronkelijk hadden gemeenten een calamiteitenplan, hierin stond slechts beschreven hoe een ICT-incident aangepakt moest worden. De rest was onderdeel van het Bedrijfshulpverleningsplan (BHV-plan). Tegenwoordig worden, mede door de digitalisering, alle potentiële incidenten die kunnen plaatsvinden binnen een gemeente in één plan verwerkt. Hiervan dient het overgrote deel van de incidenten bij de CISO te worden gemeld. Immers, niet alleen bij digitale calamiteiten, zoals een hack, kan de informatieveiligheid in gevaar komen. Juist ook incidenten zoals brand en overstromingen kunnen de informatieveiligheid binnen een gemeente verstoren. De CISO heeft dus veel te maken met BCM.

Bedrijfscontinuïteit is echter ook een strategische aangelegenheid, waarbij het noodzakelijk is dat het management de strategische keuzes maakt. De ‘omgekeerde’ BIA vraagt een grotere investering van het management dan de gebruikelijke aanpak, maar kan op die manier wel tijd en desinvesteringen besparen. Dan lijkt het verstandiger om de RTO doormiddel van de omgekeerde BIA vast te stellen, toch?

Ben jij in jouw gemeente al bezig met BCM? Zo ja, wie nam daarin het initiatief?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…